GDPR: se lo conosci non fa paura

28 maggio 2021

CHE COS’È

Il General Data Protection Regulation (GDPR) è il Regolamento sulla sicurezza dei dati emanato dall’Unione Europea a seguito dell’evoluzione digitale degli ultimi anni. L’obiettivo è rendere omogenea la regolamentazione in materia di dati personali per le persone residenti nell’Unione Europea, sia all’interno dell’Unione che all’esterno.

 

QUANDO ENTRA IN VIGORE

In realtà il GDPR è già in vigore, la data del 25/05/2018 fa riferimento all’applicabilità della norma in Italia. A partire da questa data, infatti, il GDPR sostituirà la direttiva 1995/46 sulla protezione dei dati. Rimarranno in vigore i provvedimenti dell’Autorità Garante, gli Accordi internazionali sul trasferimento dei dati, e le decisioni della Commissione dell’Unione Europea.

 

CHI È COINVOLTO

Qualsiasi organizzazione che raccoglie dati personali di residenti all’interno dell’Unione Europea, indipendentemente da dove si trovi fisicamente.

 

COME FARE PER ESSERE A NORMA

Il GDPR non dice quelli che sono i requisiti minimi per essere a norma.  Definisce una serie di parametri che le organizzazioni devono rispettare dando una certa discrezionalità a ciascun titolare del trattamento dei dati secondo il principio di responsabilizzazione (accountability).

 

5 PUNTI CHIAVE

  1. Analisi della situazione attuale: documenti e regolamenti interni in merito al trattamento dei dati personali.
  2. Redazione roadmap per identificare quali sono le operazioni che determinano la gestione dei dati.
  3. Stesura di un piano e della documentazione necessaria secondo le prescrizioni del regolamento GDPR con le procedure e le policy di gestione (data breach, valutazione rischio e impatto, privacy by design).
  4. Individuazione del Titolare dei dati e del (o dei) Responsabili dei dati con le rispettive responsabilità e compiti. In alcuni casi è previsto anche il Data Protection Officer (DPO).
  5. Messa in opera delle procedure previste per il trattamento dei dati secondo la normativa: adeguamento (se necessario) dell’infrastruttura informatica (hardware e software) e formazione dei dipendenti coinvolti.

 

COSA POSSIAMO FARE PER TE

Grazie alla partnership con un importante studio legale, specializzato in materia di tutela dei dati personali, possiamo supportati dal punto di vista informatico e legale.

Avrai così un servizio completo e personalizzato che tiene conto delle peculiarità della tua organizzazione.
Non esistono, infatti, soluzioni “chiavi in mano” proprio perché ogni azienda è unica (per ambito, dipendenti, procedure, tipologie di dati trattati, attrezzature e programmi utilizzati). Affidarsi a professionisti esperti che coniugano l’aspetto informatico e quello legale, significa affrontare il GDPR in modo puntuale e sinergico evitando inutili dispendi di tempo, energie e denaro.

 

PAROLE CHIAVE

Titolare del trattamento: è la persona fisica, giuridica, autorità pubblica e qualsiasi altro organismo che determina le finalità e i mezzi del trattamento dei dati personali. Il titolare risponde sempre davanti alla legge.

Responsabile del trattamento: è la persona fisica, giuridica, autorità pubblica e qualsiasi altro organismo che tratta i dati personali per conto del titolare del trattamento. Risponde solo per violazioni specifiche previste dal GDPR o per inadempimenti verso il titolare.

Accountability: è la responsabilità legata alla gestione delle informazioni. Questo principio fa sì che il titolare e il responsabile dei dati siano spinti ad adottare effettivamente tutte le misure necessarie alla protezione dei dati personali.

Registro dei trattamenti: è il documento che tiene traccia di tutte le operazioni di trattamento dei dati effettuate. Deve contenere i dati del titolare e responsabili, le finalità del trattamento, le categorie interessate e i dati personali, i destinatari, i trasferimenti in paesi terzi, le misure di sicurezza adottate. Ha valore probatorio ed è possibile integrarlo con elementi aggiuntivi.
è obbligatorio per le aziende con almeno 250 dipendenti (al di sotto di questa soglia è obbligatorio solo in casi particolari).

Privacy by default: come impostazione predefinita, i dati personali devono essere trattati nella misura necessaria e sufficiente per le finalità previste, e per il periodo necessario a tali fini.

Privacy by design: la necessità di tutelare il dato dev’essere preponderale fin dalla progettazione dei sistemi informatici che li utilizzano. Questi devono essere configurati in modo tale da ridurre l’utilizzo dei dati personali e identificativi, favorendo l’utilizzo di dati anonimi o limitando l’utilizzo dei dati che identificano l’interessato solo in caso di necessità.

Data breach: identifica tutte le operazioni che devono essere compiute a seguito di una violazione dei dati personali (distruzione, perdita, modifica, divulgazione non autorizzata). Entro 72 ore dal fatto occorre darne comunicazione all’Autorità di Controllo e, nei casi più gravi, anche agli interessati.

Diritto all’oblio: si verifica quando i dati non sono più necessari rispetto alle finalità per cui sono stati presi, viene revocato il consenso da parte dell’interessato, c’è opposizione al trattamento da parte dell’interessato, sono stati trattati illecitamente, devono essere cancellati per legge o sono stati forniti da un minore.

Data Protection Officer (DPO):  è il Responsabile della protezione dei dati. Non è obbligatoriamente previsto per tutte le aziende, ma solo per le autorità od organismi pubblici (ad eccezione delle autorità giurisdizionali nell’esercizio delle proprie funzioni). Per le aziende private è previsto quando l’attività principale del titolare o del responsabile consiste in trattamenti che richiedono un monitoraggio regolare e sistematico; oppure quanto consistono in trattamenti su larga scala di particolari categorie di dati o di dati relativi a condanne penali e reati.
I compiti del DPO consistono nell’informare e consigliare il titolare e il responsabile degli obblighi del Regolamento, verificarne l’applicazione, e fornire pareri in merito fungendo da collante con il Garante.

Diritto alla portabilità: permette all’interessato di ricevere i dati personali forniti a un titolare, e trattati attraverso strumenti automatizzati (sono quindi esclusi gli archivi cartacei), e, nel caso, di trasferirli ad un altro titolare del trattamento senza impedimenti. I dati devono essere forniti in un formato interoperabile che ne consenta il riutilizzo. Sono esclusi dal diritto di portabilità i dati inferenziali e quelli derivati (ad esempio la valutazione della salute o uno score creditizio).

Risarcimento: chiunque subisca un danno materiale o immateriale in violazione del Regolamento, ha diritto a chiedere un risarcimento al titolare o al responsabile del trattamento dei dati a meno che, questi, non dimostrino che il danno in questione non sia loro imputabile.
Le sanzioni economiche previste in caso di violazioni possono raggiungere 10 milioni di euro o il 2% del volume d’affari globale dell’anno precedente la violazione (casi previsti dall’art. 83 paragrafo 4 del Regolamento) oppure fino a 20 milioni di euro o il 4% del volume d’affari (casi previsti dall’art. 83 paragrafi 5 e 6).

 

Il Regolamento completo è disponibile sul sito del Garante della Privacy

 

Se desideri maggiori informazioni chiamaci allo 0432.524001 o scrivici all’indirizzo email info@ntonline.it
risponderemo a tutte le tue domande, e troveremo insieme la soluzione che fa per te.

 

 

GDPR: se lo conosci non fa paura

Iscriviti COMPILANDO IL FORM